在az ad sp create-for-rbac命令的description中,有一个--scopes参数。定义为:
-范围 服务主体角色分配所应用的范围的用空格分隔的列表。默认为当前订阅的根。
还有一个示例:
--scopes /subscriptions/{SubID}/resourceGroups/{ResourceGroup1}
但是,尚不清楚范围的一般格式是什么。除了资源组之外,这还可以吗?我们能否在资源组中深入挖掘各个资源?怎么样?
如何为该参数获取正确的值,以便能够将帐户访问范围限定于特定的单个资源?如何指定路径?
是否可以以某种方式列出任意范围的子级?
答案 0 :(得分:1)
范围是您要授予访问权限的资源的ID。可以在az resource list命令的帮助下获得它们。例如:
az resource list --location westus
结果将包含一个id字段,该字段将包含您要查找的范围,例如:
"/subscriptions/0db1a886-c5b6-49fb-a7de-23f5cd6579d3/resourceGroups/hugo-blog/providers/microsoft.cdn/profiles/hugo-cdn"